Vulnerabilidade no Apache HTTP Server permite minerar

Escrito por LC Sec | 18/07/2025 10:55:19

Pentest & Segurança Ofensiva

Vulnerabilidade no Apache HTTP Server permite minerar criptomoedas escondido

Navegação

O que é a vulnerabilidade CVE‑2021‑41773? Como funciona Sinais de alerta / Como identificar O que fazer agora / Como se proteger Prevenção / Boas práticas

Resumo rápido

A vulnerabilidade CVE‑2021‑41773 no Apache HTTP Server permite a instalação do minerador de criptomoedas Linuxsys em servidores Linux. A exploração dessa falha ressalta a importância de manter o software atualizado e implementar medidas de segurança adequadas para evitar ataques maliciosos.

Neste artigo você vai aprender:

O que é a vulnerabilidade CVE‑2021‑41773 no Apache HTTP Server.
Como a falha permite a execução remota de código e a instalação de mineradores.
Sinais de alerta para identificar se um servidor foi comprometido.
A importância de medidas de proteção e boas práticas de segurança.
Como a LC Sec pode ajudar na proteção de infraestruturas críticas.

O que é a vulnerabilidade CVE‑2021‑41773?

A CVE‑2021‑41773 é uma vulnerabilidade de path traversal que possibilita a execução remota de código em servidores afetados, permitindo que invasores instalem o minerador de criptomoedas Linuxsys.

Pesquisadores revelaram que essa falha é explorada em servidores Apache HTTP Server versão 2.4.49, destacando o perigo contínuo de falhas antigas sem correção.

Como funciona

Os invasores utilizam sites legítimos já comprometidos para distribuir um shell script, que é baixado através de comandos como curl ou wget. O script, hospedado em “repositorylinux.org”, baixa o minerador Linuxsys de cinco sites confiáveis, reduzindo as chances de bloqueio por mecanismos de segurança.

Um script “cron.sh” é configurado para garantir que o minerador seja iniciado após reinicializações, aumentando a persistência da ameaça.

Sinais de alerta / Como identificar

Indícios de que um servidor pode ter sido comprometido incluem:

Alterações não autorizadas em scripts e crontabs.
Atividade de rede suspeita, especialmente relacionadas a downloads automáticos.
Presença de arquivos maliciosos ou desconhecidos no sistema.

O que fazer agora / Como se proteger

Para proteger seus servidores contra a exploração dessa vulnerabilidade, considere as seguintes ações:

Atualize o Apache HTTP Server: versões anteriores à 2.4.50 são vulneráveis — atualize imediatamente.
Implemente monitoramento de integridade: verifique mudanças em scripts, crontabs e arquivos de sistema.
Restrinja acesso à internet: bloqueie downloads automáticos feitos por curl, wget, entre outros, a partir do servidor.
Utilize ferramentas de defesa: como EDR e IPS para detectar atividade suspeita relacionada a mineração e persistência maliciosa.

Prevenção / Boas práticas

A reinvenção da CVE‑2021‑41773 para a instalação do minerador Linuxsys mostra que hackers continuam explorando vulnerabilidades, mesmo que antigas. É essencial:

Manter servidores atualizados.
Migrar para versões seguras do Apache.
Fortalecer o monitoramento ativo da infraestrutura.

Perguntas frequentes

O que é a CVE‑2021‑41773?

A CVE‑2021‑41773 é uma vulnerabilidade que permite a execução remota de código em servidores Apache HTTP Server, facilitando a instalação de mineradores de criptomoedas.

Como posso identificar se meu servidor foi comprometido?

Procure por alterações não autorizadas em scripts, atividade de rede suspeita e a presença de arquivos maliciosos.

Qual a melhor forma de me proteger contra essa vulnerabilidade?

Mantenha seu Apache HTTP Server atualizado, implemente monitoramento de integridade e utilize ferramentas de defesa como EDR e IPS.

Proteja sua infraestrutura com a LC Sec

A LC Sec oferece apoio especializado para proteger ambientes críticos e garantir segurança contínua. Conheça nossos serviços em lcsec.io

Falar com especialista

Visualizar publicação completa